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(57) Systeme de paiement electronique securise et 
procede de mise en oeuvre. 

Selon I'invention, le systeme utilise un mediateur et 
comprend : 



un sous-systeme de paiement utilisant les supports 

FIG. 1 



un sous-systeme de paiement utilisant le support du 
mediateur (M) et le support de I'un des commercants 
(C). 

Application au paiement electronique, notamment 
de petites sommes. 
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Description 
Oomalne technique 

s La presents invention a pour objet un systeme de paiement Electronique securise et un precede de mise en oeuvre 

de ce systeme. (.'invention s'insere dans le cadre du paiement en ligne de biens ou de services, dans ie contexte des 
reseaux ouverts, ou les biens et services sont offerts par de multiples prestataires appeles par la suite commercants. 
Dans ce contexte, le client, appelE utilisateur par la suite, n'a pas nEcessairement de lien privilEgiE avec le commercant, 
et le montant de la transaction peut etre de faible, voire de tres faible valeur. 

10 L'objet de I'invention est un systeme generique de paiement electronique, analogue a celui de la monnaie fiduciaire, 

permettant notamment -et a faible cout- le paiement des montants de faible valeur, et dans lequel I'utilisateur garde 
neanmoins le controls de ses depenses. 

Etat de la technique anterieure ' 

75 

Dans certains systemes de paiement existants, utilisables pour de petites sommes, les depenses de I'utilisateur 
sont imputees, sans engagement signe de ce dernier, sur un compte distant. Cette solution prive I'utilisateur de tout 
moyen de recours en cas d'imputation erronEe ou frauduleuse sur son compte. La solution consistant a prevoir renvoi 
par I'utilisateur d'un engagement signe lors de chaque depense, serait inadaptee au paiement de petits montants, pour 
20 des raisons de cout. 

Le compte distant peut etre prEalimentE par i'utilisateur. Si de tels comptes sont constituEs chez les commercants, 
la liquidite de I'argent disponible diminue, ce qui est un frein aux echanges dont patissent aussi bien les utilisateurs, 
qui voient leur pouvoir d'achat disperse^ que les commercants, qui voient leurs ventes diminuer. Si, en revanche, un 
compte distant prEalimentE est tenu par un tiers, autre qu'une banque, ceia risque de contrevenir a la reglementation 
25 en vigueur. 

Le compte distant peut ne pas Etre prEalimentE, et done donner lieu a une facturation (par exemple une facture 
telephonique). Ce cas particulier d'imputation sur compte distant permet le paiement de petits montants, mais n'offre 
pas de garantie de paiement au commercant. Ce systeme entratne un delai entre la fourniture de la prestation et le 
paiement ; il necessite en outre la gestion des retards de paiement eventuels et la prise en compte du risque d'insol- 
30 vabilite de I'utilisateur. 

On connaTt d'autres systemes fondes sur t'utilisation de pieces Electroniques simulant la monnaie fiduciaire, qui 
s'affranchissent des defauts mentionnes ci-dessus en permettant le controle par I'utilisateur de ses depenses. Dans 
ces systemes, I'utilisateur conserve ses pieces aupres de lui et ne les distribue qu'a hauteur du montant a payer. 
Cependant, ('utilisation de pieces (electroniques ou non) peut se reveler peu commode a cause du probleme de I'ap- 

35 point. Ce probleme est simplifie si le commercant peut rendre la monnaie, mais cette possibilite reste difficile a offrir 
dans le cas de la monnaie electronique. 

Une facon simple de resoudre le probleme de I'appoint consiste a utiliser des pieces d'un montant unique -qui 
correspond alors a la "granularitE" de la monnaie electronique-, ou plus gEnEralement a utiliser des valeurs faciales 
faibles. Mais on est alors confronte au probleme du cout de cette piece; reparti en cout de fabrication et coOt de 

*o verification de la piece, d'une part, (lies au temps de calcul), de transmission et de conservation de cette meme piece, 
d'autre part, (lies a I'espace qu'elle occupe) rapporte a sa valeur faciale, qui est faible. 

En outre, dans les systemes existants a pieces electroniques, la resolution des contraintes de controle du rejeu 
et du vol par interception, inherents a la notion de piece electronique, entratne un surcout non negligeable. 

Le systeme de paiement dit "Millicent" rEsout le probleme de I'appoint en permettant au commercant de rendre la 

45 monnaie lors de chaque transaction. Ce systeme est decrit dans I'article de Mark S. MANASSE, intitulE : "Design 
Considerations for Lightweight Payment Protocols', publiE dans "First USENIX Workshop on Electronic Commerce", 
New York, Juillet 1 995. Selon ce systeme, le commercant fabrique lui-mEme, a I'aide de clefs secretes connues de lui 
seul, les pieces Electroniques qui serviront a le payer. Ces pieces sont vendues ensuite a un courtier. Pour effectuer 
des transactions chez un commercant, I'utilisateur doit se procurer prEalablement aupres de ce courtier une piece 

50 produite par le commercant. Ce dernier contr6le le rejeu et rend la monnaie, en donnant a I'utilisateur une nouvelle 
piece d'un montant diminue de Tachat qu'il vient de faire. Dans un tel systeme, I'utilisateur n'a aucun moyen de contrdle 
de la validite de ces pieces, que ce soit lors de I'achat aupres du courtier, ou lorsqu'on lui rend la monnaie. En outre, 
ce systeme n'est pas adapte a une application ou I'utilisateur ne connaTt pas par avance I'ensemble des commercants 
qu'il va frequenter (cas typique de la navigation sur internet). 

55 On connaTt encore d'autres systemes fond6s sur ce que Ton appelle le cheque Electronique. Le cheque electro- 

nique usuel est un engagement sign6 de I'utilisateur, qui est pr6sent£ a un tiers pour remboursement. II est inadapte 
au paiement de petits montants en raison de son cout en temps de calcul (production et verification) et en espace 
occup6. En outre, la garantie de paiement au commercant n'est pas absolue (il s'agit en effet d'un postpaiement). 
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Un systeme dit "PayWord" a ete decrit par R. L. RIVEST et A. SHAMIR dans "PayWord and MicroMint : Two Simple 
Micropayment Schemes", publie dans Technical Report, MIT LCS, novembre 1995. Ce systeme permet ('utilisation 
d'un mdme cheque pour plusieurs paiements aupres d'un meme commercant, diminuant ainsi le coOt unitaire des 
transactions. Toutefois, ce systeme ne garantit pas davantage le paiement au commercant, a moins d'etre complete 
par un systeme d'autorisation. En outre, ce systeme devient couteux lorsque I'utilisateur est amene a consulter de 
nombreux commercants. 

Un autre systeme connu utilise ce qu'il est convenu d'appeler le "porte-monnaie electronique". Cette solution est 
valable pour les petits paiements. Le porte-monnaie peut contenir des pieces electroniques ou gerer un compteur. Le 
porte-monnaie a pieces electroniques comporte les inconvenients evoques ci-dessus, lies a ia notion de piece. Le 
porte-monnaie electronique a compteur n'est adapte au paiement de petits montants que si le systeme ne conserve 
pas la trace de chaque paiement, mais agrege les montants recus cote commercant. Cette perte d'information impose 
I'utilisation de modules de securrte cote utilisateur et cdte commercant, afin d'empecher la creation de fausse monnaie. 
La securite globale du systeme repose alors sur la security physique des modules de security ce que redoutent les 
banques. 

Expose de invention 



L'invention a justement pour objet de remedier a ces inconvenients. A cette fin, l'invention propose un systeme 
de paiement qui conserve la propriety essentielle des pieces electroniques, a savoir le contrfile par I'utilisateur de ses 
20 depenses, tout en evitant de maniere simple les deux defauts d'un tel systeme a savoir la possibility du rejeu des 
pieces et de leur interception et vol en ligne. De plus, selon l'invention, les pieces sont remplacees par des jetons dont 
le cout unitaire de fabrication et d'utilisation est notablement plus faible. 

Le principe adopte dans le systeme de paiement de l'invention est celui du double paiement : I'utilisateur paie un 
intermediate, appele dans la suite le "mediateur", qui reverse tout ou partie de la somme percue au commercant. Le 
25 systeme possede done naturellement les proprietes decoulant de cette structure : 

le commercant peut deleguer la gestion des utilisateurs au mediateur, 
le mediateur peut jouer le rdle d'interlocuteur unique pour tous, 
il existe un anonymat relatif de I'utilisateur vis-a-vis du commercant. 

30 

De facon pratique, et contrairement au cas du systeme "MNIicent" evoque plus haut, I'utilisateur peut engager une f 
serie de sessions de paiements de petits montants avec des commercants differents, sans etre ralenti par I'inertie du 
systeme de paiement. 

En resume, le systeme de paiement selon l'invention permet le controle par I'utilisateur de ses depenses et facilite 
35 grandement le controle du rejeu des jetons de paiement utilises. Leur interception en ligne est 6gatement sans con- 
sequence sous reserve que I'origine de la commande soit authentifiee. Ces jetons sont de cout unitaire tres faible 
devant celui de la piece Electronique, et autorisent done I'utilisation de valeurs faciales faibles, simplifiant par la meme 
le probleme de I'appoint. Le systeme propose par l'invention est une solution rentable pour le paiement de petits 
montants, encore appele "micropaiement". 
40 Pour decrire l'invention de maniere plus precise, on utilisera certaines expressions ou termes dont les definitions 

sont les suivantes : 

Garantie de paiement : 

45 La garantie de paiement est reformation cedee en paiement par le payeur au paye au moment de la transaction. 

Dans le cas d'un systeme de pr6paiement, elles sont encore appelees "garanties de prepaiement". Dans le cas d'un 
systeme de postpaiement, elles sont appelees "garanties de postpaiement". 

Element de garantie de paiement : 

50 

Un element de garantie de paiement est une partie d'une garantie de paiement. Ainsi, I'element de garantie de 
paiement peut ne pas constituer une garantie de paiement a lui seul, et en particulier peut ne pas comporter de signa- 
ture. 

Une telle notion permet de modifier le contenu d'une garantie de paiement par I'adjonction d'un element de garantie 
55 de paiement, et done d'agreger plusieurs garanties de paiement en une seule. C'est sur ce principe que fonctionne le 
paiement de petits montants dans la presente invention. 
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Systeme de prepaiement : 

On appelle systeme de prepaiement tout systeme de paiement dans lequel le paiement est garanti par un tiers, 
appele emetteur par la suite, autre que le payeur. Autrement dit, la garantie de prepaiement represente un engagement 
du tiers. 

Par exemple, un systeme de paiement fonde sur i'utilisation de pieces electroniques est un systeme de prepaie- 
ment, Le paiement est garanti par I'emetteur de monnaie. 

System© de postpaiement : 

On appelle systeme de postpaiement tout systeme de paiement dans lequel le paiement est garanti par le payeur. 
Autrement dit, la garantie postpaiement represente un engagement du payeur. 
Par exemple,* la garantie de postpaiement peut prendre la forme : 

'5 - d'un engagement du payeur a payer la somme convenue avant une certaine date, a la personne designee sur 
Pengagement, 

d'un ordre du payeur a un tiers de payer la somme convenue : soit sur presentation de I'engagement, soit a la 
personne designee sur I'ordre. 

20 Lorsque la presentation de I'engagement n'est pas requise, le paiement effectif peut se faire sur {'initiative du 

payeur, la garantie de paiement n'etant exhibee qu'en cas de conflit. 

Ces definitions ayant 6te donn6es, I'organisation du systeme de ['invention est alors la suivante. 
Le systeme g6n6rique de I'invention fait intervener une entite intermediate, appel6e mediateur. Le m6diateur in- 
tervient lors de chaque transaction, en effectuant une substitution de preuve : en 6change d'un ou de plusieurs elements 
25 de garantie de paiement obtenus de I'utilisateur, il donne un ou plusieurs elements de garantie de paiement au com- 
mercant. 

Le systeme de I'invention peut 6tre decompose en deux sous-systemes cooperant pour mener a bien le paiement 

du commercant par I'utilisateur : un premier sous-syst6me de paiement agissant de I'utilisateur au mediateur, et un 

second sous-systeme de paiement agissant du mediateur au commercant. 
3Q Un tel systeme de paiement peut etre consid6r6 comme un systeme porte-monnaie dans lequel le contrdle du flux 

monetique (egalite du flux d'argent eiectronique recu des utilisateurs et du flux d'argent eiectronique envoy6 aux com- 

mercants) est sous la responsabilite du mediateur, au lieu de reposer sur ia securite physique des modules de securite 

des utilisateurs et des commercants. 

Le mediateur sert d'intermediaire lors de la transaction et peut done proteger I'anonymat de I'utilisateur vis-a-vis 
35 du commercant, en ne transmettant pas I'identite de I'utilisateur au commercant. Le mediateur est alors I' inter locuteur 

unique du commercant. La garantie de paiement obtenue par le commercant repose alors sur la solvabilite d'une entite 

digne de confiance, et non plus sur cede de I'utilisateur. Cette entite peut etre : 

soit le mediateur, lorsque le sous-systeme de paiement du mediateur au commercant est un systeme de postpaie- 
40 ment, 

soit un tiers de confiance, lorsque le sous-syst6me de paiement du mediateur au commercant est un systeme de 
prepaiement. 

Lorsqu'en outre le sous-systeme de paiement de I'utilisateur au mediateur est un systeme de prepaiement : 

45 

- la garantie de paiement obtenue par le mediateur repose sur la solvabilite d'un tiers de confiance, et non pas sur 
celle de I'utilisateur, 

- I'utilisateur connait a I'avance le destinataire de la garantie de prepaiement -a savoir le mediateur- et peut done 
la faire etablir au nom de ce dernier, pour en 6viter le vol par un tiers, 

so . ie contrdle par le mediateur, du rejeu par I'utilisateur, d'un 6l6ment de garantie de prepaiement est plus rapide 

et moins couteux car : 

d'une part, le contrdle du rejeu de I'utilisateur peut etre effectue localement par le mediateur, sans en ref 6rer 
a remetteur, car il ne necessite une recherche que parmi les garanties de prepaiement qui lui sont destinees, 
55 - - et, d'autre part, il ne n6cessite -et ceci est lie au fait precedent- qu'une recherche restreinte : non pas parmi 
I'ensemble des garanties de prepaiement emises par remetteur , mais seulement parmi celles qui sont des- 
tinees au mediateur, ou mieux, si l'6iement de garantie de prepaiement mentionne egalement I'identifiant de 
I'utilisateur, seulement parmi les garanties de prepaiement destinees au mediateur et 6mises par ce seul 
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utilisateur ; 

- enf in, le mediateur peut remettre les garanties de prepaiement qu'il a regues des utilisateurs a I'emetteur, et, 
simultanement, remplir ses engagements a payer que constituent les garanties de postpaiement qu'il a donnees 
5 aux commercants, le commercant etant alors libere de toute gestion financiere. 

Les sous-systemes de prepaiement et de postpaiement vont d'abord etre decrits (paragraphes A et B), puis les 
sessions multiples (paragraphe C) et la livraison et le courtage (paragraphe D). 

10 A) LE SOUS-SYSTEME DE PREPAIEMENT 

Un ensemble de solutions possibles pour un sous-systeme de prepaiement entre I'utilisateur et le mediateur va 
d'abord etre d6crit. Ces solutions peuvent convenir plus gen6ralement comme systeme de prepaiement dedie au 
paiement a une entite unique. 
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A1 ) Garantie de prepaiement 



Dans les solutions qui vont etre decrites, le mediateur recoit, en paiement, une garantie de prepaiement eclatee 
en deux sortes d'6l6ments de garantie de prepaiement : la signature de I'emetteur (unique), et les jetons de paiement. 

20 Les jetons de paiement d'une meme garantie de prepaiement sont regroupes en chaTnes. Chaque chaTne Ci est 

reperee par un indice i compris entre 1 et M. Une chaTne Cj comprend N- t jetons. On note ces jetons Wjj avec I'indice j 
compris entre 1 et Ni. Le nombre Ni represente la longueur de la chaTne d'indice i. Chaque chaTne possede un jeton 
de tete tj qui est le jeton de rang N jf soit Wj.Nj. Les jetons sont definis par une relation de recurrence qui permet de 
trouver les jetons de proche en proche par ta relation w } j=h(Wj j^) ou h est une fonction a sens unique publique. Pour 

25 le premier jeton w f t , on a rj=h(Wj ,) ou rj repr6sente la racine de la chaTne. 

A chaque jeton est associe une valeur faciale notee vt(w ji ) 1 qui peut dependre a la fois de la chaTne dans laquelle 
il se trouve (done de I'indice i) et de son rang dans cette chaTne (done de I'indice j). La valeur faciale de chaque jeton 
doit etre connue de tous. Elte peut faire I'objet de publications par I'emetteur, et/ou figurer dans la piece. Dans le cas 
le plus simple, tous les jetons ont la m§me valeur faciale a I'interieur d'une mSme chaTne, ou ont tous la meme valeur 

30 faciale. 

Quant a la signature de I'emetteur qui complete la garantie de paiement, elle peut contenir I'identifiant ic^ du 
mediateur, au paiement duquel la garantie de prepaiement est dedtee, si, par exemple, I'emetteur met en concurrence 
plusieurs m<Sdiateurs. 

Lorsque I'utilisateur n'est pas anonyme vis-a-vis du mediateur, la signature de I'emetteur peut Sgalement contenir 
35 I'identifiant id u de I'utilisateur. Sinon, toute autre information permettant au mediateur de classer ou de retrouver la ou 
les signatures de I'emetteur peut etre ins6ree dans la signature (numero ordinal attribue aux signatures par I'emetteur, 
pseudonyme de I'utilisateur, ...). 

La signature de I'emetteur doit contenir les racines Tj de chaque chaTne. Elle doit egalement contenir la longueur 
Ni de la chaTne d'indice i, sauf si I'emetteur participe au choix de tj de facon telle qu'il soit certain que I'utilisateur ne 
40 peut connaTtre I'antec6dent de tj par h. Ces chaTnes de jetons de paiement sont atnsi validees par I'emetteur, avec leur 
date d'expiration d exp ut . Cette date est la date au-dela de laquelle I'utilisateur ne peut plus I'utiliser en paiement. La 
signature de I'emetteur, notge SE, est done une fonction de la forme : 

45 SE((id M ), , (idu), ( Ni ). r i- d exp ut ). 

Le mediateur dispose d'un delai suppiementaire par rapport a la date d'expiration de la chaTne pour effectuer le 
d6p6t. Sa date d'expiration d exp ^ 6d est donn6e par : 



A2) Comparalson avec la piece electron ique 

55 |_a garantie de prepaiement complete est done constituee d'une signature de I'emetteur, et d'une ou de plusieurs 

chaTnes de jetons de paiement. Contrairement au cas de la piece eiectronique. la signature de I'emetteur ne suffit pas 
a lui conterer une valeur. Elle ne vaut lors du d6p6t a I'emetteur, qu'accompagn6e, pour chaque chaTne qu'elle contient, 
du dernier jeton recu du payeur. 
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La garantie de prepaiement decrite donne lieu aux trois operations de base traditionnellement attachees a la notion 
de piece electronique : le retrait, te paiement et le depdt. Cependant, ni les jetons de paiement, pris individuellement, 
ni la signature de I'emetteur, n'empruntent en general ie circuit oblige de la piece electronique traditionnelle (de I'emet- 
teur vers le payeur lors du retrait, puis du payeur vers le paye tors du paiement, et enfin du paye vers I'emetteur lors 
5 du depdt). 

A3) Protection des donneea de l'utilisateur 

Pour assurer une validite des calculs cryptographiques (verification de signature, calcul de signature, authentifi- 
10 cation) qu'il effectue, l'utilisateur doit proteger I'acces a ses clefs secretes, et s'assurer de I'authenticite et/ou de i'in- 
tegrite du logiciel utilise. II peut, pour cela, utiliser toutes les techniques disponibles de contrdle d'acces physique et/ 
ou iogique. Une solution avec carte a puce peut etre retenue. 

Outre ces donnees, I'utilisateur doit egalement proteger I'acces a ses jetons de paiement. L'utilisateur n'a pas 
besoin de conserver I'ensemble des jetons non utilises, car w } ^ se deduit de w } j par I'application de la fonction h. 
is Selon la place dont il dispose, et la rapidite de son unite de calcul, il peut choisir un compromis. Par exemple : 

il peut conserver uniquement la tete t s de chaque chaine (c'est d'ailleurs necessaire), car elle permet de recalculer 
. la chaine entiere de proche en proche, par la relation Wy=h(Wj j+1 ) ; 
il peut precalculer et/ou conserver des jetons intermediates (par exemple 1 sur 10), pour accelerer la phase de 
20 paiement ; 

il peut conserver la totalrte des jetons, si bien que plus aucun calcul n'est necessaire. 
A4) Interet du sous-systeme de prepaiement 
25 Le sous-systeme de prepaiement qui vient d'etre decrit presente plusieurs avantages : 

a) cout de mise en oeuvre : 

La garantie de prepaiement peut §tre utilisee pour plusieurs paiements a une meme entite, une fraction de sa 
30 valeur totale etant cedee lors de chaque paiement. Les paiements effectues a I'aide de la meme garantie de prepaie- 
ment a I'interieur de sa periode de validite ne se font pas necessairement au cours du meme dialogue. Dans le cas 
de I'invention, la garantie de prepaiement est dediee des sa fabrication au paiement a une entite unique, le mediateur. 

Outre la simplicity du systeme de contrdle du rejeu et 1'impossibilite du vol, les couts unitaires de fabrication et de 
verification du jeton d'une part (lies au temps de calcul), de transmission et de conservation de ce meme jeton d'autre 
35 part (lies a Tespace qu'il occupe) sont tres inferieurs a ceux de la piece electronique. 

b) appoint : 

Cet avantage est directement lie au precedent. Comme il a ete expliqu6, la possibility de diminuer la valeur faciale 
40 des pieces -et ici des jetons-, voire de leur donner a toutes la valeur correspondant a la granularite que Ton a definie 
pour le systeme de paiement, est directement liee a leur cout unitaire de fabrication et d'utiiisation. 

c) rejeu : 

45 Comme toute information, le jeton de paiement ne se donne pas reellement mais se partage, et il peut done etre 

frauduleusement reutilise (ou "rejoue"), aussi bien par I'utilisateur lors du paiement (rejeu utilisateur), que par le me- 
diateur lors du depdt Chez I'emetteur (rejeu du mediateur). Un systeme de paiement par pieces 6lectroniques doit done 
obligatoirement comporter un dispositif -gen6ralement contraignant- de contrdle du non-rejeu. 

Comme il a ete explique, I'organisation du systeme de paiement selon I'invention permet de s'affranchir dans une 

so large mesure de cette contrainte. Le contrdle du rejeu utilisateur est effectue localement (il ne necessite pas de con- 
nexion supplementaire a un systeme centralise), au moyen d'une recherche restreinte et immediatement (pas de ve- 
rification a posteriori, suivie d'une sanction eventuelle) par le mediateur, qui est le seul habilite a recevoir les jetons 
de paiement des utilisateurs. 

55 d) interception en ligne et vol : 

Le retrait de la garantie de prepaiement peut etre effectue de facon telle que I'utilisateur cree lui-meme ses jetons 
de paiement et ne les communique a personne. L'utilisateur est ainsi protege contre le vol de ses jetons de paiement 
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lors du retrait, meme par leur futur destinataire legitime, le mediateur. 

L'interception d'eiements de garantie de prepaiement par un tiers lors du paiement n'a pas de consequences 
facheuses sous reserve que I'origine de la commande soit authentifiee, car I'emetteur ne remboursera la garantie de 
prepaiement associ6e qu'a son destinataire legitime, te mediateur. 

A5) (.'operation de retrait 



L'utilisateur acquiert, lors du retrait, la garantie de prepaiement aupres de I'emetteur. Elle est constituee des chaT- 
nes de jetons de paiement w } j et de la signature de I'emetteur SE. En echange, I'emetteur bloque ou preieve la valeur 
des jetons de paiement sur un compte de Tutilisateur, appeie dans la suite compte porte-monnaie virtuel ou, en abrege, 
compte P.M.V. de I'utilisateur. Ce compte n'est pas necessairement specialise et est alimente par une autre voie, non 
decrite. 

Le retrait s'effectue en deux phases : une phase (a) de constitution des chaTnes de jetons de paiement, suivie 
d'une phase (b) de validation de ces chain es. Le retrait est decrit ici dans le cas d'une piece comportant une chame 
unique de jetons, de valeurs egales. 

a) Constitution des chaTnes : 

L'utilisateur et I'emetteur negocient, puis determinent la longueur N de la chaTne de jetons et la date d'expiration 
d de cette chaine. L'utilisateur choisit et garde secrete la valeur t de la tete de la chaTne (I'indice i de la chaTne est omis 
pour simplifier). Puis, il calcule la valeur r=h N (t), appelee racine de la chaTne, en appliquant N tois la fonction h qui est 
une fonction a sens unique publique. 

Les N jetons de paiement, dans I'ordre ou ils seront d6pens6s, sont les WphN-ift), avec 1<j<N. On peut noter ici 
que la racine r n'est pas un jeton : le premier jeton w 1 de la chaTne verifie h(w 1 )=r. 

b) Validation de la chaTne : 



L'utilisateur envoie a I'emetteur la racine r, ainsi que celles des valeurs (date d'expiration et longueur de la chaTne) 
d et N qui sont inconnues de ce dernier. L'emetteur doit pouvoir s'assurer de I'origine de cet envoi. Selon la degr6 de 
30 securite choisi, cette contrainte peut donner lieu a une authentification prealable de I'utilisateur, a une authentification 
de I'origine du message, a une signature de I'utilisateur, eventuellement interactive. 

Si I'emetteur s'engage prealablement a n'autoriser un retrait de cet utilisateur qu'en echange d'une signature de 
ce dernier, il peut en outre octroyer le droit a cet utilisateur de contester la validite d'un retrait sur son compte. 

L'emetteur realise une signature contenant au moins les valeurs d, N, r, et facultativement Pidentifiant du mediateur 
35 id M> celui de l'utilisateur pr6leve ou bloque le montant correspondant a la valeur de la chaTne de jetons, et retourne 
cette signature a l'utilisateur, et eventuellement au mediateur. 

Dans une variante avec anonymat, la signature de I'emetteur prec6demment d6crite peut etre effectuee en aveugle, 
selon le principe de la "signature aveugle" avec ou sans trappe), afin d'assurer I'independance du retrait de cette 
chaTne, d'une part, et de Pensemble des paiements realises a I'aide de cette chaTne, d'autre part. Cette independance 
to est une forme d'intracabilite par le biais de laquelle un certain degre d'anonymat des transactions est preserve. 

Dans une autre variante, remetteur participe au choix des tdtes t } des chaTnes de jetons de facon telle qu'il soit 
certain que I'utilisateur ne peut connaTtre I'antecedent de tj par h. II n'est alors plus necessaire de faire figurer les 
longueurs Nj des chaTnes dans la signature. 

On peut appeler "m6canisme de choix conjoint" le mecanisme permettant cette participation de I'emetteur : il peut 
45 ou non conduire I'emetteur a connaTtre les valeurs ^ choisies (si oui, l'utilisateur n'a plus besoin de les lui transmettre). 
En revanche, ce mecanisme ne doit pas reveler ces valeurs a un tiers espionnant la ligne : il doit done egalement 
assurer la fonction de transport de secret. 

A6) L'operatlon de paiement 

50 

Prealablement a tout paiement, le mediateur doit prendre connaissance de la signature de I'emetteur validant les 
jetons ou chaTnes de jetons de paiement. Par exemple, cette signature peut etre donn6e : 

par l'utilisateur au mediateur au cours du dialogue donnant lieu au premier paiement effectue avec cette garantie 
55 de prepaiement, 

ou directement par I'emetteur au mediateur. On peut, dans ce cas, envisager un mode de fonctionnement lege- 
rement degrade, dans lequel l'utilisateur, faisant confiance a la banque, ne recoit pas la signature validant ses 
jetons de paiement. 
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Pour le paiement proprement dit, I'utilisateur, de maniere recurrente, a la suite de la n-ieme requete de paiement 
d'un montant de S n unites monetaires en provenance d'un commercant, donne en paiement au mediateur au moins 
un jeton (et un jeton de chaque chaTne au plus), jusqu'a I'obtention du montant desire. 

A chaque fois qu'ij recoit un paiement de I'utilisateur, le mediateur paie le commercant dont il connait I'identite, du 
montant recu moins sa commission, a I'aide du sous-systeme de postpaiement. 

L'utilisateur peut eventuellement posseder, au m§me moment, plusieurs garanties de prepaiement en cours de 
validite et les utiliser pour un meme prepaiement. 

A7) L'operation de depot 

Au plus tot, et en tout cas sans qu'il soit besoin d'attendre I'epuisement des chames de jetons de la garantie de 
prepaiement, le mediateur remet a I'emetteur, pour chaque utilisateur ayant utilise le systeme de paiement depuis le 
dernier depot, le dernier jeton consomme de chaque chaine. 

Contrairement au cas de la piece electron ique classique, la garantie de prepaiement a chaines de jetons demeure 
done valide en paiement -e'est-a-dire les jetons non utilises de la chaine peuvent etre cedes en paiement- apres que 
le destinataire du paiement, en I'occurrence le mediateur, a remis a I'emetteur tout ou partie des jetons recus. Elle 
cesse d'etre valide lorsque toutes les chaTnes sont epuisees, ou si elle expire, ou encore, si elle est remboursee. 

A8) L'operation de remboursement 

Le systeme a chatnes de jetons peut faire I'objet d'un remboursement exceptionnel a I'utilisateur, soit de sa valeur 
totale, si elle n'a pas ete du tout utilisee, soit du montant des jetons non utilises en paiement. Le remboursement peut 
intervenir sur demande de I'utilisateur, ou etre declenche par un autre evenement (par exemple, I'expiration de la 
chaine, ou le retrait d'une nouvelle chaTne), auquel cas il est dit automatique. 

Si cette chaTne de jetons a ete retiree en aveugle, le remboursement ne peut se faire que sur demande de I'utili- 
sateur, qui doit alors foumir la preuve qu'il est bien I'auteur du retrait de cette chaTne. 

On peut noter que le remboursement dont il est question ici est le remboursement exceptionnel a I'utilisateur et 
non le remboursement normal au commercant apres le depdt. 

Si un remboursement a I'utilisateur a lieu avant la date d'expiration de la garantie de prepaiement, cette derniere 
est dite "revoquee" par I'emetteur. 

Lorsque la demande de remboursement d'un utilisateur est acceptee, I'emetteur fixe une date de revocation 
( d rev.ut.) de ,a garantie de prepaiement consideree et la transmet a I'utilisateur. Cette date de revocation peut etre 
consideree comme une date d'expiration anticipee : en deca de cette date, I'utilisateur peut revenir sur sa decision et 
utiliser sa garantie de prepaiement ; au-dela, elle sera refusee par le mediateur. On peut noter la encore que le me- 
diateur dispose d'un delai supplemental pour effectuer le depot : 

d rev.med. > d rev.uL + A <tep6V 

L'intervalle de temps entre la demande de remboursement et la revocation tient cornpte du delai de publication 
de la nouvelle liste des garanties de prepaiement revoquees : 



u rev.ut. dde remb. +£A pub- 

Le remboursement effectif sur le cornpte de I'utilisateur ne doit intervenir qu'au-dela de la date de revocation. 

B) LE SOUS-SYSTEME DE POSTPAIEMENT 

Le sous-systeme de postpaiement va maintenant etre decrit. Ce sous-systeme pourrait convenir egalement com- 
me sous-systeme de paiement de I'utilisateur au mediateur. Les solutions decrites pour le sous-systeme de postpaie- 
ment peuvent convenir plus generalement comme systeme de postpaiement dedie au paiement a une entite unique. 

B1) La garantie de postpaiement utilisee : 

Le commercant recoit, en paiement, une garantie de postpaiement composee de deux sortes d'elements de ga- 
rantie de postpaiement : la signature du mediateur, et les jetons de preuve. 

Les chaTnes de jetons de preuve se construisent exactement de la meme facon que les chatnes de jetons de 
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paiement. Elles sont neanmoins de longueurs plus grandes, car elles doivent permettre le paiement de tous les utili- 
sateurs clients d'un commercant. Par exemple, sur une longue periode, si un mediateur met en relation Ny utilisateurs 
et N F commercants, et en supposant que tous les jetons produits sont utilises, et qu'iis ont tous la meme valeur, on a : 

L F =(N U /N F )L U 



ou L y et L F sont les longueurs moyennes des chaTnes de jetons de paiement et de jetons de preuve, respect ivement. 
La signature du mediateur doit contenir au minimum I'identifiant du commercant beneficiaire du paiement, ainsi 
10 que les racines des chaTnes de jetons de preuve. II n'est pas necessaire d*y faire figurer la longueur des chaTnes. 

B2) Le paiement 

Prealablement a tout paiement utilisant cette garantie de postpaiement, le mediateur envoie au commercant la 
15 signature qu'il a produite. Cet envoi peut etre effectue au cours de la session donnant lieu au premier paiement utilisant 
cette garantie de postpaiement. 

Conformement a I'organisation du systeme, le mediateur, apres reception du paiement de I'utilisateur, envoie en 
paiement un ou plusieurs jetons de preuve au commercant. Comme il sera explique, lorsque le mediateur joue le rdle 
de courtier, le paiement de I'utilisateur peut etre anticipe. Conformement a la definition du systeme de postpaiement, 
20 la garantie de postpaiement donne lieu a un paiement effectif au commercant, qui peut etre effectue par exemple selon 
les divers modes deja explicites. 

C) LES SESSIONS MULTIPLES 

25 C1) Sessions d'utillsateur multiples : 

Un utilisateur peut souhaiter ouvrir parallelement plusieurs sessions de paiement avec des commercants even 
tuellement differents, en utilisant un porte-monnaie unique. Pour rendre cela possible, il suffit que le mediateur gere 
I'exclusion mutuelle des acces aux donnees associees a ce porte-monnaie, et en particulier I'acces en lecture/6criture 
30 au dernier jeton de paiement recu de I'utilisateur, pour chaque chaTne de jeton de paiement. Ainsi, les donnees con- 
servees par le mediateur resteront coh6rentes, et I'utilisateur ne pourra pas rejouer, meme involontairement, les memes 
jetons au cours des sessions differentes. 



35 



C2) Sessions de commercant multiples : 

Lorsqu'un commercant a ouvert plusieurs sessions avec des utilisateurs differents (eventuellement pour un service 
unique mutti-utilisateurs), le mediateur peut avoir a gerer les paiements de plusieurs utilisateurs en direction du meme 
commercant. II peut, pour ce faire, engager les actions non mutuellement exclusives suivantes : 

40 - agreger des paiements a ce commercant en un seul paiement, a condition toutefois de preciser la decomposition 
de ce paiement unique et de Pauthentifier, 

gerer I'exclusion mutuelle des acces aux donnees associees a ce commercant et, en particulier, I'acces en lecture/ 
ecriture au dernier jeton de preuve octroye a ce commercant, pour chaque chaTne de jetons de preuve, 
gerer plusieurs chaTnes de jetons de preuve, et repartir les utilisateurs sur tes differentes chaTnes, 
45 - gerer plusieurs sous-systemes de postpaiement au meme commercant et repartir les utilisateurs sur les differents 
sous-systemes. 

D) LA LIVRAISON ET COURTAGE 

so Les operations de livraison et de courtage vont maintenant etre decrites : 

D1 ) Modes de livraison : 

Dans le systeme de paiement tel qu'il a ete decrit, la livraison du bien peut intervenir a tout moment! En fait, le 
ss systeme est concu de telle facon que le commercant peut se permettre d'attendre de recevoir la garantie de paiement, 
avant de livrer. Ceci suppose cependant que le commercant soit digne de confiance et livre effectivement apres avoir 
recu cette garantie. Cette solution est par exemple applicable pour le paiement de prestations a la duree : I'utilisateur 
paie par tranches de temps, et peut se rendre compte, en temps reel, de la foumiture de la prestation et interrompre 
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le paiement le cas 6cheant. Si Ton prefere que la Irvraison sort garantie par le mediateur, on peut s'arranger pour que 
la livraison transite par lui. Dans ce cas, il ne cedera la garantie de paiement au commercant qu'une fois le bien recu 
du commercant. 

5 D2) Courtage et livraison differee : 

Si des facteurs autres que le paiement sont susceptibles de ralentir la livraison (eloignement, affluence, ...), I'uti- 
lisateur peut souhaiter ne pas attendre et etre livre en differe. Le mediateur prend alors en charge la requete de I'uti- 
lisateur apres paiement de ce dernier et la transmet au commercant en diffe>6 : la requete et le paiement de I'utilisateur 
10 au mediateur, d'une part, le paiement du mediateur au commercant et la livraison, d'autre part, ne sont plus effectues 
simultanement. 

Breve description des dessins 

15 - la figure 1, unique, represente I'organisation gendrale du systeme de Pinvention. 
Expose detaille de modes de realisation 
A) Organisation du systeme de paiement 

20 

Comme illustre sur la figure 1, le systeme comporte quatre acteurs principaux: I'utilisateur (U), le commercant 
(C), le gestionnaire de porte-monnaie virtuel, c'est-a-dire la communaute bancaire (banque) appelee encore emetteur 
(E), et enfin l'op6rateur, qui joue le role de mediateur (M) dans la transaction. La chronologie des echanges est repre- 
sentee sur la figure 1 . 
25 Les references des echanges ont la signification suivante : 

1 : ret rait des jetons de paiement par I'utilisateur U aupres de I'emetteur E, 

2 : paiement (flux de jetons de paiement) de I'utilisateur U au mediateur M, 
2' : paiement (flux de jetons de preuve) du mediateur M au commercant C, 

30 3 : Irvraison du commercant C a I'utilisateur U, 

4 : d6pot des jetons accumules (fin de journee) par le mediateur M aupres de I'emetteur E, 

5 : envoi du releve de compte (fin de mois au moins) par le commercant C a I'emetteur E. 

A1) Flux financiers : 

35 

L'utilisateur ne paie pas directement les prestations au commercant, mais a un intermedial re, appele "mediateur". 
Le mediateur, quant a lui, s'engage, aussitot le paiement realise, a reverser au commercant les sommes recues, moins 
sa commission. Sur reception de cet engagement, le commercant livre le produit achete a I'utilisateur. Le paiement de 
I'utilisateur au mediateur prend la forme d'un systeme porte-monnaie virtuel a jetons de paiement, mais la specialisation 
40 de ces jetons au paiement a une entity unique simplifie considerablement leur mise en oeuvre. L'engagement du 
mediateur a reverser au commercant les sommes qui lui sont dues prend la forme de jetons de preuve. Ces jetons ne 
seront utilises comme preuve par le commercant qu'en cas de conflit avec le mediateur, et ne constituent pas reellement 
un flux financier. 

45 A2) Flux de jetons : 

Le flux d'informations de paiement (branches 2 et 2\ sur la figure 1) passe par le mediateur M qui realise une 
substitution de jetons : pour un jeton de paiement recu de I'utilisateur U, il donne un jeton de preuve au commercant 
C. Les jetons de paiement circulent dans le triangle 1 -2-4 et s'apparentent done a des pieces 6lectroniques classiques 
so (retrait, paiement, d6p6t). Les jetons de preuve, eux, ne parcourent que la branche 2'. 

A3) Comptes porte-monnaie virtuel (PMV) : 

On ne s'interesse pas ici a I'organisation interne du gestionnaire de porte-monnaie virtuel (I'eYnetteur). On considere 
55 qu'il gere un compte pour chaque utilisateur (appeld compte PMV de I'utilisateur), distinct ou non de son compte 
bancaire, et qui est aliments par un moyen ext6rieur. Le gestionnaire de porte-monnaie virtuel gere dgalement un 
compte pour le meciiateur (appele compte PMV du m6diateur) et un compte pour chaque commercant (appele compte 
PMV du commercant). 
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Le compte PMVd'un utilisateur sert a renflouer son porte-monnaie virtuel, pendant I'operation de retrait (ou encore 
rechargement du PMV). Uargent contenu dans le porte-monnaie virtuel lui-meme est constitue de I'information detenue 
par i' utilisateur, a savoir, la chain e de jetons de paiement validee par Pemetteur. 

5 A4) Jetons de paiement : 

Les jetons de paiement de I'utilisateur constituent le contenu de son porte-monnaie virtuel (PMV). L'utilisateur 
recharge son porte-monnaie virtuel (autrement dit, valide ses jetons de paiement) lors de Toperation de retrait sur son 
compte PMV (branche 1 , de Pemetteur vers I'utilisateur). Puis les jetons de paiement sont cedes au mediateur lors de 
10 I'acte de paiement (branche 2, de I'utilisateur vers le mediateur). Enftn, ils sont rem is a I'emetteur, lors de I'operation 
de depot (branche 4, du mediateur vers I'emetteur). 

Ce flux de jetons de paiement s'apparente done a un flux de pieces electron iques. Cependant, le fait que le me- 
diateur soit un point de passage oblige de ces jetons, et qu'ils soient compensables sur un compte unique (le compte 
PMV du mediateur) resout a la fois le probleme du rejeu utilisateur et le probleme du vol des jetons comme explique 
is plus haut. 

A5) Jetons de preuve : 

Le second flux de jetons circule du mediateur vers le commercant et constitue, pour ce dernier, une garantie de 
20 reversement par le mediateur. Le commercant, apres avoir emis une requeue de paiement en direction de I'utilisateur, 
eventuellement par Pintermediaire du mecliateur, s'attend a recevoir de ce dernier les jetons de preuve correspondants 
avant de livrer I'information. 

lis ne sont exhibes par le commercant qu'en cas de litige avec le mediateur lorsque le total des reversements 
effectues par ce dernier ne correspond pas au nombre de jetons recus du mediateur. Les jetons de preuve sont en 
25 real iteregrou pes en chaines de jetons de preuve. Une chaTne de jetons de preuve peut etre consid6ree comme une 
signature a message variable, qui n'a valeur de signature qu'accompagnee du dernier jeton recu (qui constitue la partie 
variable du message. Dans le cas de I'invention, il s'agit du montant que le mediateur s'engage a payer au commer- 
cant.). 

30 B) Le retrait : 

B1) Constitution et validation de la chains de jetons 

Entre I'emetteur E et I'utilisateur U s'etablissent une negociation et un accord sur : 



35 



le nombre N de jetons de paiement a retirer, 

la date d'expi ration de la chaTne de jetons soit d exp . 



L' utilisateur calcule les jetons par I'operation : 



w-h^t) 



45 

L'utilisateur U envoie ensuite a I'emetteur : S u (id E ,r,N,date du jour). 
Puis, Pemetteur : 

bloque un montant de N unit6s sur le compte de I'utilisateur U, 

so 

ou bien : 

retire ce montant sur le compte de U, 

determine la date d'emission d omj Et la date d'expiration d^, 
55 - conserve idy.r.N.d^.Sy. 

L'emetteur envoie ensuite a I'utilisateur : 
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5 



S E (id u ,r,N,d e/e ). 

L'utilisateur U retransmettra SE au mediateur M lors du premier paiement effectud avec cette chaTne. 
B2) Gestlon bancaire des chatnes de jetons de paiement 



Le retrait des jetons de paiement est autorise tous les jours. Le fonctionnement pour l'utilisateur est done souple, 
mais cette disposition permet surtout a I'emetteur d'etaler dans le temps la gestion des retraits et des mises en service 
10 de chaTnes de jetons de paiement associees. 

Le retrait peut donner lieu, par ordre de securite" croissant© : 

soit a une authentification faibfe (par mot de passe) de l'utilisateur par i'emetteur, 
soit a une authentification "semi-forte* grace a une chaine de mots de passe a usage unique, 
is - soit a une authentification forte, utilisant un protocole d'authentification (defi/r6ponse), 

soit a une signature (active), qui permet a I'emetteur de conserver une trace de retrait, et, corrSlativement, donne 
le droit a l'utilisateur de contester la validite d'un retrait sur son compte. 

La periode de validite de la chaTne commence le jour du retrait. La duree de validite doit §tre choisie egalement- 
20 dans le but d'6taler dans ie temps la gestion des mises hors service des chatnes de jetons de paiement au bout de la 
periode de validite. Par exemple, la duree peut dtre egale a n fois 8, ou 5 est la periode de validite minimum, et n entier 
choisi par l'utilisateur, ou encore, n=1 pour tous les utilisateurs. 

Pendant la duree de validite d'une chaTne, Pemetteur conserve, en permanence, pour chaque utilisateur : 

25 - la racine r de la chaTne de jetons de paiement actuellement en service, 

la longueur N de la chaTne, e'est-a-dire le nombre total de jetons de la chaTne, 
le dernier jeton depens6 la veille (avant depdt) ou le jour meme (apres depot), 
le nombre de jetons deja depens6s (i) ou non defenses (N-i). 

30 Au bout de la periode de validite, la chaTne devient inutilisable en paiement. L'emetteur met la chaTne de l'utilisateur 

hors service, et rembourse a l'utilisateur, sur son compte porte-monnaie virtuel, la valeur des jetons non d6pens6s, 

sans que l'utilisateur ait a se manifester. 

Si l'utilisateur se manifesto avant la fin de la periode de validite de sa chaTne de jetons de paiement, en vue de 

retirer de nouveaux jetons, il recoit une nouvelle chaTne (plus longue). Sa demande (eventuellement signee) invalide 
35 automatiquement la chaTne prec6dente, de sorte qu'a chaque instant, une chafne et une seule est en service pour un 

utilisateur donne. 

C) Paiement par double flux de jetons 

40 Dans I'exemple qui va suivre, l'utilisateur U paie p jetons au commercant C, avec une nouvelle chaTne qu'il vient 

de retirer, puis il se connecte a un autre commercant C* et paie p' jetons avec la meme chaTne. Les p jetons payes a 
C, ainsi que les p' jetons payes a C, peuvent en nSalite avoir ete ced6s en plusieurs fois. On note i I'indice du jeton 
courant de la chaTne de U, et j(resp.j') I'indice du jeton cou rant octroye par M a C (resp. C). 

Dans une premiere phase ^initialisation (i=0) d'une nouvelle chaTne, l'utilisateur U transmet au mediateur M la 

45 signature SE. 

Le mediateur verifie si SgCidu.r.N.d^) est valide. II conserve idu.r.N.de^.Sg et initialise i a 0. 

Dans une deuxieme phase, on realise le paiement de p jetons a C. Pour cela U transmet au mediateur idc-.w^p. 
Le mediateur calcule hP(w p ) et v6rifie que le r6sultat est r. Le mediateur retrouve j de C et transmet au commercant 1 
id u« ^jvp- Le commercant verifie que hP(w' }+p ))=w J j. Le mediateur fixe i=p et j=j+p et conserve (i.Wj) et j. Le commercant 
50 calcule j=j+p et conserve Q.w'j). 

Dans une troisieme phase, on realise le paiement de p' jetons a C par des operations analogues. L'utilisateur 
transmet au mediateur id c , w^ p .. Le mediateur v6rifie que hP'(w j+p .) et v6rtfie que le r6sultat est W|. Le m6diateur retrouve 
j' de C et transmet au commercant idu, w"j. +p .. Le commercant verifie que hP , (w'* j . +p .)=w ,, j.. Le mediateur fixe i=i+p\ 
j'=j'+p' et conserve (i,Wj) et j'. Le commer?ant c' calcule j'=j'+p' et conserve Q'.Wj.). 
55 On n'a pas mentionnd, dans ces operations, Toctroi par M a C (resp. C) d'une signature (de M) sur la racine r' de 

la chaTne w* (resp. r" de w'), car on suppose que I'on se trouve en "milieu de chaTne',, et que cela a eu done lieu lors 
d'un paiement precedent. 
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O) Depot des jetons de palement 

En fin de journee, le mediateur M remet a I'emetteur E les jetons cedSs par les utilisateurs U, qui se sont connectes 
le jour m§me. En realite, il suffit de remettre le dernier jeton recu de chaque utilisateur, car les jetons precedents s'en 
deduisent, grace a la structure chaTnee. II converse la valeur de ce dernier jeton recu, ainsi que la signature S E (idy, 
N,r), en prevision des paiements ult6rieurs de I'utilisateur, dont la chaine de jetons de paiement reste evidemment 
valide. 

On note : 



10 


numdro du jour d'aujourd'hui 


n 




indice du' dernier jeton consommd par U 


'u(n) 




dernier jeton consomm6 par U 


w iu(n) 




nombre de jetons consommSs ce jour par U 


Nu(n)=i u (n)-i u (n-1) 


15 


indice du dernier jeton octroy6 a C par M 


jc(n) 




nombre de jetons octroyes aujourd'hui a C 


N c (n)=jc(n)-j c (n-1) 



Dans la phase de depot des jetons, le mediateur, pour un utilisateur s'6tant connects ce jour n, retrouve w^^Ny 
(n) puis envoie a l'6metteur, N^nJ.Wju^. Ue^etteurcalculehN^Hw^) et verifie que le r6sultatdonnew iU(n . 1) . L'emet- 
20 teur verse la somme de Nu(n) unites sur le compte PMV de M puis adresse un acquittement au mediateur. 

Dans la phase detransfertde fonds, le mediateur retrouve N c (n), calcule sa commission, not6ec(C,n) Iem6diateur 
vire ensuite Nc(n)-c(C,n) au commercant. L'emetteur preleve Nc(n)-c(C,n) sur le compte de M et verse la somme sur 
le compte de C. 

L'emetteur verse alors sur le compte du m6diateur la somme correspondant au total des jetons recus des diff6rents 
25 utilisateurs. Puis, le m6diateur envoie a l'6metteur un ordre de transfert de fonds de son compte vers les comptes des 
differents commercants. La somme versee a chaque commercant correspond a la somme payee par les utilisateurs 
qui se sont connectes a ce commercant, moins la commission retenue par le mediateur. 

Contrairement aux chaTnes de jetons de paiement qui ont des peViodes de validity "glissantes" (la peViode de 
validite commence le jour choisi pour le retrait par I'utilisateur), les chaTnes de jetons de preuve ont des periodes de ■ 
30 validite fixes (identiques pour tous les commercants, par exemple, un mois du calendrier). 

Le mSdiateur construit, pour chaque commercant, une chaine de jetons de preuve valable pour une p^riode fixe, 
et la signe. II envoie la signature au commercant concerns, et lui c6dera progressivement les jetons associes a cette 
chaine, au fur et a mesure des paiements effectuds par les differents utilisateurs de ce commercant. Chacun de ces 
jetons de preuve repr6sente un engagement du mddiateur de verser, en fin de mois au plus tard, la valeur de un jeton 
35 sur le compte du commercant. 

li est souhaitabfe pour le commercant que le mediateur lui verse chaque soir une somme correspondant a son 
gain du jour. Cependant, la preuve que lui donne le mediateur cumule les gains journaliers du commercant et ne 
concerne done que le total de ses gains sur le mois. Pour satisf aire totalement le commercant, e'est-a-dire tut permettre 
d'engager un contentieux si les versements du mediateur sont tardifs, on peut demander au mediateur de verifier, lors 
40 de toute connexion a un commercant, si son dernier versement a ce commercant remonte a plus de 24 heures, et, si 
e'est le cas, de.lui foumir un engagement signe de lui verser son du le soir meYne. 

En fin de mois, le commercant recpit un releve bancaire, sur lequel sont indiqu6s les versements effectu^s par le 
mediateur. II peut comparer le total qui lui a 6t6 verse, a la valeur totale des jetons qu'il a recus du mediateur, et dispose 
d'un dSlai pour contester si les deux montants different, en exhibant la preuve que constituent les jetons de preuve 
45 recus lorsqu'ils sont associes a la signature de la chaine. 

Si une chaine de jetons de preuve est 6puis6e, une nouvelle chaine est construite par le mediateur (dont la longueur 
est 6valu6e en fonction de la dur6e restante dans le mois en cours, et du chiffre d'affaires mensuel du commercant 
concern^). 

so 

Revendlcatlons 

1 . Systeme de paiement 6lectronique utilisant des premiers supports detenus par des utilisateurs (U) et des deuxie- 
mes supports d6tenus par des commercants (C), caracteris6 par le fait qu'il comprend, en outre, un troisieme 
55 support detenu par un mediateur (M), ce systeme etant constitud : 

d'un sous-systeme de paiement utilisant les supports des utilisateurs (U) et le support du mediateur (M), 
d'un sous-systeme de paiement utilisant le support du mediateur (M) et le support de I'un des commercants (C), 
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chaque sous-systeme de paiement pouvant dtre soit un systeme de prepaiement, soit un systeme de postpaie- 
ment. 

Systeme selon la revendication 1, dans lequel chaque support d'utilisateur du premier sous-systeme de paiement 
comprend des garanties de paiement comprenant des elements de garantie de paiement et des moyens pour 
transmettre au support du mediateur un ou plusieurs elements de garantie de paiement. 

Systeme selon la revendication 2, dans lequel le support de I'utilisateur comprend des garanties de paiement sous 
forme de chaTnes de jetons de paiement (W^). 

4. Systeme selon la revendication 1 , dans lequel chaque support d'utilisateur comprend Sgalement une signature 
(SE) provenant d'un emetteur et validant les elements de garantie de paiement. 

5. Systeme selon la revendication 3, dans lequel chaque chaTne (Ci) de jetons de prepaiement (wj j) comprend Ni 
1 $ jetons, ou Ni est la longueur de la chaTne, ces Ni jetons etant reperes par le rang j qu'ils occupent dans la chaTne, 

chaque jeton de rang j (Wj j) etant lie au jeton de rang suivant (w j j+1 ) par la relation : 



10 



20 



w u= h ( w i.»i). 

ou h est une fonction a sens unique publique, Si (tel que Sj=h(Wj ,)) etant designe par "la racine" de la chaTne et 
le jeton de rang Ni (Wj.Nj) par "la tete" de la chaTne. 

6. Systeme selon la revendication 4, dans lequel la signature de I'emetteur (SE) contient les racines ri de chaque 
25 chaTne. 

7. Systeme selon la revendication 5, dans lequel la signature de I'emetteurcontient en outre un ou plusieurs elements, 
notamment id M .idtj,Nj,d exp ut . 

30 8. Systeme selon la revendication 5, dans lequel un support d'un utilisateur comprend uniquement la t§te (t|=Wj,Nj) 
de chaque chaTne et des moyens de calcul de proche en proche de tous les jetons de la chaTne a I'aide de la 
fonction h jusqu'a la racine (w, .,) obtenue en apptiquant N fois la fonction h. 

9. Systeme selon la revendication 5, dans lequel le support d'un utilisateur comprend la tete (t i =w i Nl ) de chaque 
35 chaTne et des jetons intermediates entre la tete (tj) et la racine (rj=h(w } ,). 

10. Systeme selon la revendication 5, dans lequel le support d'un utilisateur contient la totalite des jetons de toutes 
les chaTnes. 

11. Systeme selon la revendication 5, dans lequel les moyens du support d'un utilisateur aptes a adresser au support 
du mediateur des jetons de paiement sont aptes a adresser un jeton de chaque chaTne au plus, la tdte ft) de 
chaque chaTne 6tant le dernier jeton de la chaTne a pouvoir etre adresse. 

12. Systeme selon la revendication 2, dans lequel le support du mediateur est apte a receyoir et a conserver la signa- 
ls ture de I'emetteur (SE) directement de I'emetteur. 

13. Systeme selon la revendication 2, dans lequel le support du mediateur comprend des garanties de postpaiement 
sous forme de chaTnes de jetons de postpaiement et d'une signature du mediateur. 

so 14. Systeme selon la revendication 13, dans lequel chaque chaTne de jetons de postpaiement comprend (Mi) jetons, 
ou (Mi) est la longueur de la chaTne, ces (Mi) jetons etant rep6res par le rang (j) qu'ils occupent dans la chaTne, 
chaque jeton de rang (j) (Wj j) etant lie au jeton de rang suivant (w^) par la relation : 



55 



w i.f h < v Vi>' 



ou h est une fonction a sens unique publique, le jeton S,=Wj 0 de rang 1 constituant la racine de la chaTne. 
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15. Systeme selon la revendication 14, dans lequel le support du mediateur (M) est apte a adresser au support d'un 
commercant (C) au moins un jeton de postpaiement. 

16. Procede de paiement electronique entre des utilisateurs (U) et des commercants (C) pour la mise en oeuvre du 
s systeme selon la revendication 1 , caracterise par le fait qu'il fait intervenir en outre un mediateur <M), la transaction 

s'effectuant d'abord sous forme de prepaiement entre le support d'un utilisateur (U) et le support du mediateur 
(M), puis sous forme de postpaiement entre le support du mediateur (M) et le support de I'un des commercants (C). 

17. Procede selon !a revendication 1 6, dans lequel le mediateur (M) recoit d'un utilisateur (U) des elements de garantie 
io de prepaiement sous forme a la fois de jetons de prepaiement pris dans des chaTnes de jetons de paiement (W; j) 

et d'une signature (SE) validant les jetons et dans lequel le mediateur (M) donne un ou plusieurs elements de 
garantie de paiement a un commercant (C) sous forme de jetons de postpaiement pris dans des chaTnes de jetons 
de postpaiement. 

*5 1 8. Procede selon la revendication 1 7, dans lequel chaque chaTne (Ci) de jetons de pr6paiement comprend (Ni) jetons, 
ou (Ni) est la longueur de la chaTne, ces (Ni) jetons etant repSres par le rang fl) qu'ils occupent dans la chaine, 
chaque jeton de rang (j) (w^) etant lie au jeton de rang suivant (Wj j+1 ) par la relation : 

20 W i,j =n ^ W i^l)' 

ou h est une fonction a sens unique publique, S { (tel que Sph(Wj x )) etant designe par "la racine" de la chaTne. 

19. Precede selon la revendication 18, dans lequel, a chaque jeton (Wjj), on associe une valeur faciale (vf(Wy)), qui 
25 peut dependre a la fois du rang (i) de la chaTne et de son rang (j) dans la chaTne. 

20. Procede selon la revendication 19, dans lequel on associe la meme valeur faciale a tous les jetons a I'interieur 
d'une meme chaTne. 

30 21. Procede selon la revendication 19, dans lequel on associe la meme valeur faciale a tous les jetons quels que 
soient la chaTne et leur rang dans la chaTne. 

22. Procede selon la revendication 17, dans lequel la signature (SE) de I'emetteur (E) contient notamment I'identifiant 
(id M ) du mediateur (M). 

35 , 

23. Procede selon la revendication 17, dans lequel la signature (SE) emise par I'emetteur (E) contient notamment 
I'identifiant (id u ) de I'utilisateur (U). 

24. Procede selon la revendication 17, dans lequel la signature (SE) de I'emetteur (E) contient les racines (rj) de 
chaque chaTne (Ci), la longueur (Ni) de la chaTne (Ci), et la date d'expiration de la garantie de prepaiement (d exp ut ). 

25. Procede selon la revendication 16, dans lequel un commercant (C) recoit du mediateur (M) des elements de 
garantie de postpaiement constitues par une signature du mediateur et des jetons de preuve. 

45 26. Procede selon la revendication 25, dans lequel les jetons sont organises en chaTnes et se deduisent les uns des 
autres par une relation recurrente (W| j=h(Wj j+1 ) ou h est une fonction a sens unique publique, (w i 0 ) constituant la 
racine de la chaTne. 

27. Procede selon la revendication 25, dans lequel la signature du mediateur contient I'identite du commercant bene- 
50 ficiaire du paiement ainsi que les racines des chaTnes de jetons de preuve. 

28. Procede selon la revendication 17, dans lequel le mediateur (M) remet a la fin de certaines periodes a I'emetteur 
(E), les jetons cedes par les utilisateurs (U) qui se sont connectes pendant chaque periode. 

55 29. Procede selon la revendication 28. dans lequel le mediateur (M) remet a I'emetteur (E) le dernier jeton recu de 
chaque utilisateur (U). 
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